Embed Size (px)
Citation preview
S I C H E R H E I TR A T G E B E R ■ T I P P S ■ P R A X I S
IT-Security■ Cyberangriffe: Das sind
die Gefahren für KMUs ■ IT-Security in der Industrie■ Die Vorteile eines Security
Center of Excellence■ Cloud: Was einen sicheren
Online-Service ausmacht
Know-how■ APTs, Botnets, Spoofing:
So arbeiten die Hacker■ Usable Security in der Praxis■ PSD2: Sicherheit für den
digitalen Zahlungsverkehr■ Blockchain: Grundlagen
und Sicherheitsaspekte
Ratgeber■ Das Zero-Trust-Konzept■ Ransomware: Wo die
Gefahren lauern und wie Sie sich schützen
■ Sind SSL-Zertifikate sicher?■ SQL-Injections: So laufen
Angriffe auf Ihre Datenbank
im Unternehmen
Deutschland € 17,90
COMPACTit im mittelstand
CO
MPAC
Tit
im m
ittelstand
September 2019
www.TecChannel.de
09/2019Sicherheit
Know-how
PraxisRatgeber
teccompact_09_2019_titel_beta1.indd 1 20.08.2019 11:28:42
Inhaltsverzeichnis ‹ 3
Grundlagen8 › So funktionieren Mirai, Reaper, Echobot und Co.9 Verschiedene Bot-Typen11 Beispiele bekannter Botnets12 Was können Kunden und Hersteller gegen Botnets tun?13 Wie können Botnets gefunden werden?15 Wie lassen sich Botnet-Angriffe verhindern?17 Können Botnets unschädlich gemacht werden?18 › Blockchain: Grundlagen und Sicherheit19 Blockchain Definition20 Die Funktionsweise von Blockchain einfach erklärt21 Was sind die Vor- und Nachteile der Blockchain?23 Brauche ich eine Blockchain?24 Leitfaden für sichere Blockchain26 › Was ist Usable Security?27 „Usable Security“ – eine Definition28 Security mit menschlichen Entscheidungen28 Modell für effektive Intervention29 Security ohne menschliche Interaktion30 Räumliche vs. zeitliche Parameter30 Die Sache mit dem Datenschutz31 › GPS-Spoofing: Die Risiken durch gehackte GPS-Systeme32 Definition: GPS-Spoofing32 Arten des GPS-Spoofing33 Weitere Beispiele für GNSS-Spoofing34 Welche Unternehmen sind gefährdet?35 Schutz vor GPS-Spoofing38 › Advanced Persistent Threats (APTs)39 Der APT-Leben szyklus40 Die Werkzeugkiste eines APT-Angriffs41 Wer steckt hinter APTs?42 Was sind typische Ziele für APT-Angriffe?42 Was kann man gegen APTs unternehmen?44 › PSD2: Das steckt hinter der neuen EU-Zahlungsdienstrichtlinie45 Offene APIs der Banken45 Mehr Sicherheit beim Online-Bezahlen47 TAN-Listen sind mit PSD2 Geschichte48 Bußgelder und Strafen drohen50 › Alles, was Sie über IAM wissen müssen50 Was ist Identity & Access Management?51 Wozu brauche ich IAM?52 Wie bereichert Identity Management mein Geschäft?53 Wie funktionieren IAM-Systeme?54 Was ist „föderiertes“ Identity Management?55 Wo liegen die Risiken beim IAM?56 Glossar
Inhaltsverzeichnis4 ›
Sicherheit im Unternehmen57 › Vier Fakten über Cyber-Angriffe60 So erhöhen und optimieren Sie ihre Unternehmenssicherheit61 › IT-Security im Mittelstand64 › Wie sich die Cloud-Security transformiert65 Die Cloud-Sicherheit ist bedroht66 Neue Anforderungen an Cloud-Security67 Datenschutz dominiert die Auswahlkriterien68 Cloud-Sicherheit muss sich verändern69 Transparenz und Prüfbarkeit70 › IT-Sicherheit in der Industrie71 Fehlende Sicherheit im industriellen Kontext71 Bessere Zusammenarbeit zwischen IT und OT72 Entwicklungen für das Industrial IoT73 Ausblick74 › SCADA/ICS-Systeme richtig absichern75 Zahlreiche Risiken lauern75 So erzielen Sie mehr Sicherheit und Compliance76 Fazit77 › Software Defined Datacenter und die IT-Sicherheit78 SDDC im Kontext der IT-Sicherheit79 Hürden bei der Migration80 Fazit81 › Was ein Security Center of Excellence (CoE) ist84 Blick in die Zukunft85 › Fünf Tipps für sichere DevOps86 Vorteile der Pipeline von Bereitstellungen nutzen86 Software standardisieren und aktuell halten87 Werkzeuge und Prozesse standardisieren87 Überwachen mit automatisierten Audit-Protokollen88 Entwicklern die IT-Sicherheit schmackhaft machen88 Fazit: DevOpsSec sind erreichbar
Inhaltsverzeichnis ‹ 5
Ratgeber und Praxis89 › Die fünf größten Datenverlustrisiken91 Gefahren von innen93 Externe Bedrohungen95 › Zero Trust verstehen und umsetzen95 Definition: Zero Trust96 Der Software Defined Perimeter98 Zero Trust umsetzen100 Kernelemente: Authentifizierung und IAM101 › Ransomware: Aktuellen Gefahren und Schutz vor Erpresser-Software101 Troldesh, WannaCry und Co.102 Die Gefahren für Unternehmen102 Schutzmaßnahmen gegen Ransomware104 Was tun, wenn es doch passiert105 Ist Bezahlen oder Verhandeln eine Alterative?105 Fazit106 › Social-Engineering-Angriffe erkennen und verhindern107 E-Mail-Betrug108 CEO-Fraud108 Angler-Phishing109 Typosquatting109 Das Bewusstsein steigt110 Vorbereitung111 Umsetzung112 Kontinuierliche Verbesserung113 Ein Kraftakt mit Gefühl114 › So entlarven Sie bösartige Mails115 Einfacher Schutz gegen Phishing-Mails115 So enttarnen Sie gefälschte Links in Phishing-Mails117 Analyse eines Phishing-Links an zwei Beispielen118 So ermitteln Sie den Absender einer Mail119 Mail-Header aufbereiten und analysieren119 Mail-Header am Smartphone analysieren120 Sicherheitsfunktionen im Mailheader erkennen121 Mail-Prüfung auch mit gesundem Menschenverstand121 Dateianhänge gefahrlos öffnen122 › So funktioniert der Angriff auf Ihre Datenbank124 Beispiel einer einfachen SQLi-Attacke126 Feuer mit Feuer bekämpfen126 SQLi verhindern127 Sorgfalt ist der beste Schutz128 › Datenschutz als Standardeinstellung128 „Privacy by Design“ und die DSGVO129 Klare Trennung von Datentypen130 Berücksichtigung von Archivierungspflichten131 Datenschutz für bestehende Systeme
Inhaltsverzeichnis6 ›
131 Datenlöschung als Datenschutzmodul132 Mindestprüfungen und Pseudonymisierung133 Prinzipientreu und klar definiert135 › Wie sicher sind SSL-Zertifikate mit Identitätsnachweis135 Der Unterschied liegt in der Identitätsprüfung138 Identitätsprüfung optimieren138 QWACs: SSL-Zertifikate mit hoher Vertrauenswürdigkeit139 Fazit
Tools und Software140 › Tools und Strategien für einen effektiven Cyberschutz140 Datenverlust: Mehr als nur der nächste Hack142 Online Brand Security143 Angriffsfläche verkleinern144 › Schutz vor Insider-Threats146 Abriegeln (DLP)147 Abschätzen (UBA)148 Abschwächen (SIEM)150 Absuchen (Forensik)151 Kritische Introspektive im Trend152 › Die besten Tools für Anwendungssicherheit158 › Die besten Security-Tools für Docker und Kubernetes159 Aporeto159 Aqua-Container-Security-Plattform160 Atomic Secured Docker160 NeuVector161 Sysdig Secure161 Tenable.io Container Security162 Twistlock
Ratgeber und PraxisSocial-Engineering-Angriffe erkennen und verhindern106 ›
Security Awareness
Social-Engineering-Angriffe erkennen und verhindernPhishing, Whaling, CEO-Fraud – die Unternehmens-IT wird zunehmend durch Social- Engineering-Angriffe auf Mitarbeiter attackiert. Wir stellen die beliebtesten Tricks der Angreifer vor und erklären, wie Sie Ihr Unternehmen dagegen schützen können.
„Die Angreifer bewegen sich von der Techno-logie zu den Menschen, weil es einfacher ist,“
fasst Lance Spitzner, Leiter des Security Awareness-Programms des Schulungsan-bieters SANS Institute, die Lage zusammen. Die technischen Schutzmaßnahmen der Unternehmen würden immer besser und damit hätten es die Angreifer schwe-rer, sie auf technischem Wege zu überwinden. Könne aber ein Mitarbeiter innerhalb des Netzwerks dazu manipuliert werden, aktiv auf einen schädlichen Link zu klicken, einen infizierten Dateianhang zu öffnen oder sensible Daten preiszugeben, ließen sich die Sicherheitslösungen vergleichsweise einfach umgehen.
Die Mitarbeiter sind ein kritischer Faktor der IT-Sicherheit. Es gilt daher, sie für sol-che Angriffe zu sensibilisieren und die sogenannte Security Awareness im gesamten Unternehmen zu steigern. Dazu ist es hilfreich, zuerst einen näheren Blick auf die beliebtesten Angriffswege zu werfen.
›Wie Tiefseeräuber setzen Cyberkri-minelle vermehrt auf Täuschung, um die Sicherheitsmaßnahmen ihrer Opfer auszutricksen. (Foto: PedroRamosPhoto, Shutterstock)
Ratgeber und PraxisSocial-Engineering-Angriffe erkennen und verhindern ‹ 107
E-Mail-BetrugDie E-Mail ist immer noch das verbreitetste Kommunikationsmittel im Unterneh-mensalltag. Laut Statista steigt die Anzahl der aktiven E-Mail-Accounts sowie täg-lich verschickten E-Mails weltweit sogar kontinuierlich weiter. Daher ist die elektro-nische Post laut der Studie „Faktor Mensch 2018“ von Proofpoint (www.it-finanz magazin.de/proofpoint-veroeffentlicht-neue-studie-zum-faktor-mensch-in-der-it- sicherheit-69555/), Anbieter von E-Mail-Sicherheitslösungen, bei Social-Enginee-ring-Attacken der bevorzugte Angriffsvektor.
Die Angreifer wollen das Opfer dazu bringen, eine bewusste Aktion in der geschick-ten E-Mail auszuführen – etwa auf einen Link zu klicken oder eine Datei zu öffnen. Dabei gibt es laut Proofpoint zwei verschiedene Muster:
› Es werden einfache Köder, die leicht als Fälschung entlarvt werden können, großflächig versendet – also klassischer Spam. Hier vertrauen die Angreifer darauf, dass trotz großer Streuverluste genügend Empfänger neugierig oder unachtsam genug sind, um die gewollte Aktion auszuführen.
›Die Köder sind aufwändig gestaltet und darauf zugeschnitten, eine relativ klei-ne Zielgruppe zu überzeugen. Meist sind die Fälschungen sehr nah am Original und nur anhand von kleinen abweichenden Details erkennbar.
Um das Opfer dazu zu bringen, die gewollte Aktion auszulösen, setzen die Mails meist eine oder mehrere der folgenden Taktiken ein:
›Mit Betreffzeilen und Dateinamen wie „Lebenslauf“ oder „Neues Konzept“ wird die natürliche Neugier der Opfer angesprochen. Vermehrt verwenden Angreifer zudem die „Post vom Anwalt“-Masche, die mit einem rechtlichen Be-treff Aufmerksamkeit erregen wollen.
› Im Inhalt wird ein Gefühl der Dringlichkeit erweckt. Der Absender gibt sich beispielsweise als IT-Mitarbeiter aus und verlangt, dass sofort die angehängte Datei geöffnet werden muss, um ein wichtiges Update zu installieren.
›Die Mails imitieren vertrauenswürdige Marken. So könnten die Angreifer zum Beispiel eine Nachricht des Amazon-Supports nachbauen, in der dazu aufgefordert wird, die Bankverbindung über einen Link – der zu einer nachge-bauten Phishing-Webseite führt – zu aktualisieren. Die eingegebenen Daten gehen direkt an die Betrüger.
Um die E-Mail darüber hinaus noch authentischer wirken zu lassen, nutzen Angreifer laut der Proofpoint-Studie vermehrt „gefälschte Ketten“. Dabei setzen sie „AW:“, „Fwd:“ oder „WG:“ vor den Betreff und fügen manchmal sogar einen gefälschten E-Mail-Verlauf hinzu.
Ratgeber und PraxisSocial-Engineering-Angriffe erkennen und verhindern108 ›
Im deutschsprachigen Raum gilt es seit Mitte 2019 besonders auf eine Malware na-mes „GermanWiper“ zu achten. Sie tarnt sich als E-Mail-Bewerbung auf eine Stellen-ausschreibung mit einer .zib-Datei im Anhang, die angeblich weitere Unterlagen ent-hält. Wird sie gestartet, überschreibt der Schädling die Dateien der befallenen Sys-teme – sie sind nicht mehr wiederherstellbar. Das hält die Betrüger aber nicht davon ab, dennoch eine Lösegeldforderung über 1.500 Euro an die Opfer zu stellen.
CEO-FraudDer „Cheftrick“ ist laut Spitzner vom SANS Insitute die zweithäufigste Methode der Angreifer. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) schätzt diesen Angriffsvektor als akut gefährlich ein. Im Rahmen eines Ermittlungs-verfahrens gegen die organisierte Kriminalität fand die Behörde 2017 eine Liste mit etwa 5.000 potenziellen Zielpersonen in Deutschland.
Die Betrüger konzentrierten sich dem BSI zufolge auf Mitarbeiter aus der Buchhal-tung oder dem Rechnungswesen. Sie gäben sich als Führungsperson aus und wiesen die Opfer an, hohe Geldbeträge auf ausländische Konten zu überweisen. Oft werde dabei betont, dass es sich um eine zeitkritische sowie streng vertrauliche Angelegen-heit handle, da es vorgeblich um ein geheimes Projekt gehe.
Gefälschte E-Mails sind bei dieser Methode eines der beliebtesten Mittel der Betrü-ger. Darüber hinaus sind aber auch aufwändig gefälschte Briefe, Telefonanrufe mit imitierter Stimme und Ähnliches bekannt.
Angler-PhishingDer Begriff Angler-Phishing ist vom Anglerfisch abgeleitet, der mit einem leucht-enden Köder an seinem Kopf die Beute seiner Opfer imitiert und sie so in die Falle lockt. Bei der Social-Engineering-Variante schalten sich Betrüger in die Kommunika-tion zwischen dem Kunden und einer Marke ein. Sie geben sich als Kundenservice aus und leiten die Konversation auf einen Fake-Account in einem sozialen Netzwerk oder einer gefälschten Web-Präsenz um. Stellt etwa jemand auf Twitter eine Frage an den Support einer Firma, antworten die Betrüger rasch über ein gefälschtes Profil wie etwa „@Service_Firmenname“ darauf und starten ein Gespräch. Das Ziel ist oft, die Opfer auf schädliche Internetseiten zu locken oder sich vertrauliche Informatio-nen wie beispielsweise Zugangsdaten zu erschleichen.
Ratgeber und PraxisSocial-Engineering-Angriffe erkennen und verhindern ‹ 109
TyposquattingTyposquatting ist eine Abwandlung des Markendiebstahls. Dabei registrieren Be-trüger Webdomains, deren URL ähnlich derer bekannter Marken lautet. Meist er-setzen, entfernen oder vertauschen sie Zeichen, fügen eines hinzu oder ergänzen einen Bindestrich. Dort bauen die Betrüger das Original täuschend echt nach und greifen über falsche Log-In-Masken Zugangsdaten ab oder leiten Mitarbeiter auf mit Malware infizierte Seiten weiter.
Das Bewusstsein steigtDie Maschen der Betrüger sind so vielfältig wie perfide – und sie funktionieren: Im August 2016 teilte der Autozulieferer Leoni der Öffentlichkeit mit, dass er „Opfer betrügerischer Handlungen unter Verwendung gefälschter Dokumente und Identi-täten sowie Nutzung elektronischer Kommunikationswege“ geworden sei. Die Tä-ter stahlen dem Unternehmen etwa 40 Millionen Euro.
Solche und ähnliche Fälle sorgen dafür, dass die Schwachstelle Mitarbeiter stärker in das Bewusstsein der Verantwortlichen tritt. Auch ein gesteigertes Interesse am Datenschutz durch die DSGVO soll laut SANS dazu beigetragen haben.
Kaspersky Lab führte 2017 eine Umfrage unter 5.000 Unternehmen auf der ganzen Welt durch. Demnach gaben über die Hälfte (52 Prozent) der Befragten an, dass der Faktor Mitarbeiter die größte IT-Sicherheits-Schwachstelle in ihrem Unterneh-men sei. Diese Angst scheint nicht unbegründet zu sein. Laut Milos Hrncar, General Manager der DACH-Region bei Kaspersky Lab, sollen bei 80 Prozent der Cybersi-cherheitsvorfälle unvorsichtige Mitarbeiter beteiligt gewesen sein. „Im Durchschnitt sind sich lediglich etwa ein Zehntel der Mitarbeiter über Regeln und Richtlinien zur IT-Sicherheit in ihrem Unternehmen bewusst,“ fasst er das Problem aus seiner Sicht zusammen. Um dieser Situation Herr zu werden, gilt es, neben robusten technischen Sicherheitsmaßnahmen, für alle Mitarbeiter ein umfassendes Security Awareness Programm zu implementieren. Dabei sehen sich viele Unternehmen mit einer Reihe von Herausforderungen konfrontiert.
Milos Hrncar von Kaspersky sieht, gerade in kleineren Unternehmen, ein generelles Ressourcenproblem. Für Björn Haan, Geschäftsführer im Geschäftsfeld Cyber-Security bei TÜV Rheinland, stellt das nötige Budget eine große Hürde dar. Zudem wüssten viele Unternehmen nicht, wie sie ein nachhaltiges Programm überhaupt umsetzen sollten. Auch Lars Kroll, Cyber Security Strategist bei Symantec, nennt die Kosten als hemmenden Faktor, betont aber auch das notwendige Zeit-Investment der Mit-
Ratgeber und PraxisSocial-Engineering-Angriffe erkennen und verhindern110 ›
arbeiter. Georgeta Toth, Senior Regional Director CEEMEA bei Proofpoint, nennt die Unterstützung der Führungskräfte als Herausforderung und betont, dass auch die strengeren Datenschutzbestimmungen in Deutschland eine Rolle spielen.
VorbereitungBevor konkret daran gearbeitet werden kann, ein Security Awareness Programm einzu-führen, sollten die potenziellen Gegner im Unternehmen identifiziert und mit an Bord geholt werden. Die häufigsten Einwände drehen sich um Geld und Aufwand. Dem-nach stellen sich laut dem „SANS Security Awareness Report 2018“ folgende zwei Ab-teilungen am wahrscheinlichsten gegen solche Initiativen: Finanzen und Operations.
Um die Finanzabteilung für sich zu gewinnen, sollten im Vorfeld konkrete Zahlen zu den durch Datenlecks, Compliance-Vorfällen etc. verursachten Verlusten eingeholt werden – entweder aus dem eigenen Haus oder von vergleich baren Unternehmen im Markt. Diese sollten mit den Kosten für unterschiedliche Möglichkeiten, das Programm aufzusetzen (im eigenen Haus oder mit verschiedenen Dienstleistern), verglichen werden. Die Oparations-Abteilung stört sich meist an dem nötigen Zeit-aufwand, in dem die Mitarbeiter nicht produktiv sind, und der Komplexität, das Pro-gramm im Unternehmen zu koordinieren und umzusetzen. Hier spielt die Art und Weise der Konzeption des Projekts eine wichtige Rolle. Es sollte ein fokussierter, auf die Kernprobleme einzelner Zielgruppen im Unternehmen zugeschnittener Ansatz erarbeitet werden. Damit lässt sich sicherstellen, dass der Aufwand je Mitarbeiter-gruppe überschaubar bleibt. Zudem werden mögliche „Leerzeiten“ vermieden, da Mitarbeiter nur Wissen vermittelt bekommen, das sie auch direkt betrifft. Diese Argumente können auch dabei helfen, die Führungsebene abzuholen. Hier ist es wichtig, dass der CISO, CSO oder IT-Leiter die übergreifenden Vorteile besserer Se-curity Awareness im Unternehmen kommuniziert. Zu viele technische Details sollten vermieden und die konkreten Vorteile für das Geschäft klar dargestellt werden.
Ist das Top-Management an Bord, gilt es laut TÜV Rheinland, so früh wie möglich Stakeholder aus allen Abteilungen mit einzubeziehen. Dadurch ließen sich die indi-viduellen Schwerpunkte, die bei den Schulungsmaßnahmen der einzelnen Zielgrup-pen fokussiert werden sollten, zeitig konkretisieren. Außerdem wird damit die Basis für ein „Wir“-Gefühl geschaffen, das verhindert, dass sich später Widerstände ent-wickeln, weil sich Teile der Belegschaft ausgeschlossen fühlen.
Ratgeber und PraxisSocial-Engineering-Angriffe erkennen und verhindern ‹ 111
UmsetzungIn vielen Unternehmen existieren bereits Sicherheits-Prozesse, die Mitarbeitern helfen sollen, sich gegen Angriffe zu schützen. Laut Lance Spitzner von SANS sind diese aber häufig von IT-Abteilungen aus der technischen Perspektive heraus ent-wickelt und lassen den Menschen außer Acht. Das macht die Security-Direktiven für die Mitarbeiter oft unverständlich oder umständlich in der Anwendung, sodass sie die Prozesse am Ende nicht einhalten. Es gilt also, diese Abläufe genau zu prüfen und sie im Dialog mit den Anwendern auf die Praktikabilität hin zu optimieren.
In diesem Zusammenhang sind Softskills wichtig. Mitarbeiter aus dem Sicherheits- Team mit technischem Hintergrund stecken meist sehr tief in der Materie. Es fällt ih-nen daher manchmal schwer, die Perspektive der anderen Mitarbeiter einzunehmen. Laut den Ergebnissen des „SANS Security Awareness Report 2018“ seien Programme schneller erfolgreich, wenn kommunikationsstarke Mitarbeiter mit einem nicht-techni-schen Hintergrund Teil des Teams sind. Hier eignen sich beispielsweise Kollegen aus den Marketing- oder Kommunikationsabteilungen oder aber ein externer Dienstleis-ter. Die Maßnahmen selbst orientieren sich an einer Mischung aus individuellen Schu-lungen, Trainings, Simulationen und Tests, die die technischen IT-Sicherheitsmaßnah-men des Unternehmens ergänzen. Je nach Position und Funktion sollten bestimmte Angriffsvektoren eingesetzt und getestet werden. Finanzabteilungen sind beispiels-weise begehrte Ziele von CEO-Fraud oder gefälschten E-Mail-Rechnungen und soll-ten verstärkt dafür sensibilisiert werden. Personalabteilungen sollten über Malware in Email-Anhängen wie Lebensläufen und Phishing-Attacken auf sensible Mitarbeiterin-formationen informiert werden. Mitarbeiter in einem Warenlager oder Einzelhandel sollten dagegen eher auf physische Sicherheitsmaßnahmen geschult werden. Auch der richtige Umgang mit genutzten Cloud-Services wird immer wichtiger. So kann eine Unachtsamkeit beim Teilen von Daten über Google Drive dazu führen, dass sen-sible Daten im gesamten Internet veröffentlicht werden.
Mögliche Schulungs-Formate reichen von regelmäßigen Schulungen über neue Angriffsmethoden über Online-Trainings und Spiele bis hin zu Live-Hacks und Brett-spielen. Wichtig ist bei all dem, dass sie kontinuierlich stattfinden. Einstündige Schulungen alle sechs oder zwölf Monate sind laut Proofpoint nicht genug. Toth rät zu praktischen Erfahrungen in simulierten Angriffssituationen oder kurzen, leicht verständlichen Lektionen in hoher Frequenz, die beispielsweise über Comics oder Videos transportiert werden. Björn Haan vom TÜV Rheinland sieht in webbasier-ten E-Learnings eine gute Möglichkeit, die Security Awareness zu verbessern. Die-se sollten auch nachhaltig konzipiert sein, so dass sie in regelmäßigen Abschnitten wiederholt werden können.
Ratgeber und PraxisSocial-Engineering-Angriffe erkennen und verhindern112 ›
Ein Praxis-Beispiel, wie ein internationales Großunternehmen seine Mitarbeiter syste-matisch in Awareness-Maßnahmen eingebunden hat, ist Henkel. Der Konsumgüter-konzern konzipierte eine breite Kampagne über alle Standorte und Hierarchieebenen hinweg. Das Programms besteht aus freiwilligen E-Learnings und regelmäßigen In-formationsveranstaltungen. Zudem veranstaltete Henkel Anfang 2019 eine interne Cyber-Security-Awareness-Messe als Leuchtturmprojekt.
Kontinuierliche VerbesserungDamit die Sicherheitsmaßnahmen auch Früchte tragen, sind regelmäßige Tests ein wichtiger Bestandteil des Security Awareness Programms. Aus den Ergebnissen können die Verantwortlichen den Erfolg des Programms ableiten und an die Unter-nehmensführung sowie alle involvierten Stakeholder kommunizieren.
Die gängigste Methode sind regelmäßige Penetrationstests mit fingierten Phishing- E-Mails. Anhand der Auswertung der Klickraten können Erfolge und Mängel im Pro-gramm identifiziert und dieses entsprechend angepasst werden. Zudem lassen sich gezielt qualitative Schwachstellen ausmachen, indem erfasst wird, wie oft ein Mitar-beiter den Test nicht besteht. Dabei spielt der Datenschutz natürlich eine große Rolle. Darf ein Unternehmen verfolgen, welcher Mitarbeiter wie oft auf einen Phishing-Test hereinfällt? Christian Kuss, Rechtsanwalt und Partner bei der Luther Rechtsanwaltsge-sellschaft, sagt, unter bestimmten Voraussetzungen kann das möglich sein, es müssen im Vorfeld aber einige Details geklärt werden:
„Hier kollidieren die Pflichten der Unternehmen zum Schutz der Daten ihrer Ange-stellten und die Pflicht zum Schutz der IT-Infrastruktur. Dieser Konflikt lässt sich aber auch im Rahmen der DSGVO lösen. Vorwegschicken muss ich allerdings, dass eine konkrete Lösung dieses Konflikts in der DSGVO nicht vorgesehen ist und somit ei-nige Rechtsunsicherheit verbleibt, wie Unternehmen damit umgehen können. Das Datenschutzrecht erlaubt die Verarbeitung personenbezogener Daten auf Grund-lage unterschiedlicher Rechtsgrundlagen. Dies gilt auch im Arbeitsverhältnis.“
„Demnach ist eine qualitative Auswertung möglich. Diese Auswertung muss sich im Rahmen der Rechtsgrundlagen bewegen. Dabei stellt sich insbesondere die Frage, zu welchen (weiteren) Zwecken die Daten verwendet werden sollen. Für ein Unter-nehmen empfiehlt es sich, hier eine Betriebsvereinbarung als Rechtsgrundlage vor-zusehen. Da die Auswertungen regelmäßig auch zur Kontrolle der Mitarbeiter geeig-net sind, dürfte der Betriebsrat ohnehin ein Mitbestimmungsrecht haben. Alternativ könnte die Datenverarbeitung auch im Rahmen eine Interessensabwägung möglich sein. Hier sollte das Unternehmen aber Selbstbeschränkungen vorsehen, um eine ausufernde Nutzung der Daten zu vermeiden.“
Ratgeber und PraxisSocial-Engineering-Angriffe erkennen und verhindern ‹ 113
Wollen Unternehmen eine qualitative Auswertung nutzen, sollten sie dringend vor-her einen Rechtsexperten hinzuziehen und die Gesetzeslage genau klären. Zudem ist es für die Verantwortlichen ratsam, die Implikationen und Konsequenzen einer solchen qualitativen Auswertung sehr genau abzuwägen. Ansonsten könnte der Zweck des Programms, ein höheres Sicherheitsniveau zu erreichen, verfehlt werden.
Kaspersky Labs sagt in der oben erwähnten Studie, dass bei 40 Prozent der weltweit von einem Sicherheitsvorfall betroffenen Unternehmen Mitarbeiter versuchten, einen Vorfall zu verbergen. Oft liege das an strengen aber unklaren Regeln, oder Mitarbei-ter befürchteten, ihr Brötchengeber könnte sie bei Nichteinhaltung zur Rechenschaft ziehen. Solche Regeln schürten laut Kaspersky Angst und ließen den Mitarbeitern nur eine Option – Vorfälle vertuschen, um die Bestrafung um jeden Preis zu vermeiden. In solchen Fällen gilt es, die IT-Sicherheitsrichtlinien zu konkretisieren und die Prozesse so in den Arbeitsalltag zu integrieren, dass sie leicht verstanden und verinnerlicht werden könnten. So wird der Belegschaft die Angst genommen, etwas falsch zu ma-chen. Dabei helfe es, in den Abteilungen engagierte Mitarbeiter einzusetzen oder aufzubauen, die als direkter Ansprechpartner bei Unklarheiten dienen und die Schutz-maßnahmen vor Ort gemeinsam mit den Mitarbeitern durchsetzen.
Zum Abschluss darf auch die analoge Welt nicht vergessen werden. Ausgedruckte E-Mails, postalische Korrespondenz, alte Festplatten und dergleichen können na-türlich auch sensible Daten enthalten. Es sollten daher auch regelmäßig Müll-Cont-ainer und Ähnliches dahingehend geprüft werden.
Ein Kraftakt mit GefühlDie Schwachstelle Mensch gegen die steigende Flut an Social-Engineering-Attacken abzudichten, ist eine vielschichtige Angelegenheit. Zum einen gilt es, alle Ebenen – von der Geschäftsführung bis zu den einzelnen Abteilungen – zu involvieren, um eventuelle interne Hürden zu überwinden und Security Awareness als strategisches Ziel zu etablieren. Zum anderen sollten die Maßnahmen so gestrickt sein, dass sie das Sicherheitsniveau verbessern und dauerhaft von Mitarbeitern akzeptiert werden.
Dazu ist es wichtig, die Maßnahmen individuell auf die Zielgruppen zuzuschneiden und Mitarbeiter mit starken Softskills in das Programm zu integrieren. Persönliches Engagement in Sachen Sicherheit seitens der Belegschaft ist nicht selbstverständ-lich und lässt sich nicht erzwingen. Es ist eine kulturelle Entwicklung, die langfristig aktiv gefördert und gelebt werden muss.
Jens Dose
